Modern	  Malware	          Nir	  Zuk	      Founder	  and	  CTO	  
data	  breach	  mythology	  
we	  invest	  in	  protec>ng	  our	  data	  centers	  
rarely	  the	  datacenter	  is	  a?acked	  directly	  
no	  more	  vulnerability	  scanning	  
the	  new	  a?acker	  
the	  a?acker	  is	  not	  a	  bored	  geek	  
na>on	  states	  and	  organized	  crime	  
data	  breaches	  in	  2011	  
step	  one:	  bait	  an	  end-­‐user	  
step	  one:	  bait	  an	  end-­‐user	           spear	  phishing	  
step	  one:	  bait	  an	  end-­‐user	  
step	  two:	  exploit	  a	  vulnerability	  
step	  three:	  download	  a	  backdoor	  
step	  four:	  establish	  a	  back	  channel	  
step	  five:	  explore	  and	  steal	  
the	  	  state	  of	  malware	  protec>on	  
protec>on	  is	  needed	  at	  all	  stages	                                            back	  bait	      exploit	     dow...
	  bait	  protec>on	  
	  exploit	  protec>on	  exploits	  come	  in	  thru	  many	  applica>ons	  
	  exploit	  protec>on	  many	  months	  pass	  between	  black-­‐hat	  discovery,	  white	     hat	  discovery,	  and	  ...
	  download	  protec>on	  targeted	  a?acks	  mean	  few	  instances	  in	  the	  wild	  
	  download	  protec>on	  an>-­‐malware	  vendors	  take	  several	  days	  to	  come	  up	                      with	  a...
	  back	  channel	  protec>on	                       +                                +not	  only	  a?acks	  are	  target...
	  explore-­‐and-­‐steal	  protec>on	  minimal	  internal	  security	  means	  that	  once	  inside,	      an	  a?acker	 ...
blueprint	  for	  stopping	  modern	  malware	  
need	  to	  protect	  all	  applica>ons	  
response	  >me	  is	  key	  
automa>on	  is	  a	  must	  
a	  sandbox	  at	  the	  core	  
perform	  the	  analysis	  for	  all	  devices	  centrally	  
automa>cally	  generate	  mul>ple	  signatures	  • 	  An>-­‐malware	  download	  signatures	  • 	  IPS	  back-­‐channel	  ...
deliver	  signatures	  with	  one	  hour	  
stopping	  modern	  malware	  in	  prac>ce	  
need	  to	  protect	  at	  all	  stages	                                                  back	  bait	            exploit	...
bait	  protec>on	  	  • 	  Block	  unneeded	  applica>ons	  • 	  Control	  file	  transfers	  by	  user,	  applica>on,	  a...
exploit	  protec>on	  	  • 	  Discover	  vulnerabili>es	  before	  the	  bad	  guys	  • 	  IPS	  signature	  for	  newly	...
discovering	  MicrosoN	  vulnerabili>es	                     Palo	  Alto	                                        Tipping	 ...
discovering	  Adobe	  Flash	  vulnerabili>es	                     Palo	  Alto	                                        Tipp...
download	  protec>on	  	  •  An>-­‐Malware	  signatures	  available	  to	  the	  en>re	     par>cipant	  base	  within	  ...
back-­‐channel	  protec>on	  	  •  Block	  unknown	  applica>on	  traffic	  •  Use	  heuris>cs	  to	  detect	  back	  chann...
explore-­‐and-­‐steal	  protec>on	  	  •  Network	  segmenta>on	  •  Control	  access	  to	  data	  by	  user	  and	  app...
the	  role	  of	  NGFW	  in	  stopping	  modern	                         malware	  
solu>on	  has	  to	  be	  enterprise-­‐wide	  
protec>on	  has	  to	  be	  real-­‐>me,	  inline	  
needs	  user-­‐based	  access	  control	  
needs	  high-­‐speed	  IPS	  and	  AV	  
need	  to	  perform	  across	  all	  applica>ons	  
need	  to	  block	  the	  unknown	  
conclusion:	  advanced-­‐malware	  protec>on	    belongs	  in	  a	  next	  genera>on	  firewall	  
Thank	  You	  
3 Nir Zuk Modern Malware Jun 2011
Upcoming SlideShare
Loading in …5
×

3 Nir Zuk Modern Malware Jun 2011

596 views

Published on

Presentación del fundador y CTO de Palo Alto Networks, Nir Zuk, sobre las amenazas de seguridad actuales, como ha evolucionado el ciberterrorismo, y las formas de controlarlo con el FW de Nueva Generación de Palo Alto Networks.

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
596
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

3 Nir Zuk Modern Malware Jun 2011

  1. 1. Modern  Malware   Nir  Zuk   Founder  and  CTO  
  2. 2. data  breach  mythology  
  3. 3. we  invest  in  protec>ng  our  data  centers  
  4. 4. rarely  the  datacenter  is  a?acked  directly  
  5. 5. no  more  vulnerability  scanning  
  6. 6. the  new  a?acker  
  7. 7. the  a?acker  is  not  a  bored  geek  
  8. 8. na>on  states  and  organized  crime  
  9. 9. data  breaches  in  2011  
  10. 10. step  one:  bait  an  end-­‐user  
  11. 11. step  one:  bait  an  end-­‐user   spear  phishing  
  12. 12. step  one:  bait  an  end-­‐user  
  13. 13. step  two:  exploit  a  vulnerability  
  14. 14. step  three:  download  a  backdoor  
  15. 15. step  four:  establish  a  back  channel  
  16. 16. step  five:  explore  and  steal  
  17. 17. the    state  of  malware  protec>on  
  18. 18. protec>on  is  needed  at  all  stages   back  bait   exploit   download   steal   channel  
  19. 19.   bait  protec>on  
  20. 20.   exploit  protec>on  exploits  come  in  thru  many  applica>ons  
  21. 21.   exploit  protec>on  many  months  pass  between  black-­‐hat  discovery,  white   hat  discovery,  and  protec>on  being  available  
  22. 22.   download  protec>on  targeted  a?acks  mean  few  instances  in  the  wild  
  23. 23.   download  protec>on  an>-­‐malware  vendors  take  several  days  to  come  up   with  a  signature  
  24. 24.   back  channel  protec>on   + +not  only  a?acks  are  targeted  and  IPS  signatures  take  >me  to  develop,  back  channels  are  oNen  encrypted  
  25. 25.   explore-­‐and-­‐steal  protec>on  minimal  internal  security  means  that  once  inside,   an  a?acker  can  roam  the  network  freely  
  26. 26. blueprint  for  stopping  modern  malware  
  27. 27. need  to  protect  all  applica>ons  
  28. 28. response  >me  is  key  
  29. 29. automa>on  is  a  must  
  30. 30. a  sandbox  at  the  core  
  31. 31. perform  the  analysis  for  all  devices  centrally  
  32. 32. automa>cally  generate  mul>ple  signatures  •   An>-­‐malware  download  signatures  •   IPS  back-­‐channel  signatures  •   Malware  URLs  •   IPS  signatures  for  iden>fied  new  vulnerabili>es  
  33. 33. deliver  signatures  with  one  hour  
  34. 34. stopping  modern  malware  in  prac>ce  
  35. 35. need  to  protect  at  all  stages   back  bait   exploit   download   steal   channel  
  36. 36. bait  protec>on    •   Block  unneeded  applica>ons  •   Control  file  transfers  by  user,  applica>on,  and  file  type  •   Block  access  to  Malware  URLs  
  37. 37. exploit  protec>on    •   Discover  vulnerabili>es  before  the  bad  guys  •   IPS  signature  for  newly  iden>fied  vulnerabili>es  
  38. 38. discovering  MicrosoN  vulnerabili>es   Palo  Alto   Tipping   Check  Point   Juniper    &   McAfee   Sourcefire   Networks   Point   So9ware   Cisco   20   7   7   3   1   0   number  of  vulnerability  discoveries  credited  to   each  vendor  over  the  last  4  years  Source:  OSVDB;  as  of  June  15th  2011  
  39. 39. discovering  Adobe  Flash  vulnerabili>es   Palo  Alto   Tipping   Check  Point   Juniper    &   McAfee   Sourcefire   Networks   Point   So9ware   Cisco   12   1   1   0   0   0   number  of  vulnerability  discoveries  credited  to   each  vendor  over  the  last  4  years  Source:  OSVDB;  as  of  June  15th  2011  
  40. 40. download  protec>on    •  An>-­‐Malware  signatures  available  to  the  en>re   par>cipant  base  within  one  hour  of  first  discovery  •  Generic  drive-­‐by-­‐download  protec>on  for  HTTP/S   downloads  
  41. 41. back-­‐channel  protec>on    •  Block  unknown  applica>on  traffic  •  Use  heuris>cs  to  detect  back  channel  communica>on  •  C&C  signatures  available  for  newly  discovered   malware  
  42. 42. explore-­‐and-­‐steal  protec>on    •  Network  segmenta>on  •  Control  access  to  data  by  user  and  applica>on  
  43. 43. the  role  of  NGFW  in  stopping  modern   malware  
  44. 44. solu>on  has  to  be  enterprise-­‐wide  
  45. 45. protec>on  has  to  be  real-­‐>me,  inline  
  46. 46. needs  user-­‐based  access  control  
  47. 47. needs  high-­‐speed  IPS  and  AV  
  48. 48. need  to  perform  across  all  applica>ons  
  49. 49. need  to  block  the  unknown  
  50. 50. conclusion:  advanced-­‐malware  protec>on   belongs  in  a  next  genera>on  firewall  
  51. 51. Thank  You  

×